Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

SamSamランサムウェア:リスクを特定して軽減する方法

March 28, 2018 • 3 Min Read
by Tenable Research 
Blog Home / Cyber Exposure Alerts

2018年3月下旬にアトランタ市のシステムを攻撃したSamSamランサムウェアの脅威は引き続き継続しています。最近の攻撃では、攻撃のベクトルとして無差別のリモートデスクトッププロトコル(RDP)が利用されています。

更新:2018年8月22日

以前のSamSam攻撃は、JBoss/デシリアライズの脆弱性を悪用していましたが、最新版のSamSam攻撃は、主に無差別なRDPNLBruteなどのツール)を使用しています。プラグインは66173リモートRDPターゲットの露出を検出します(rdp_logon_screen.nbin)。

リモートデスクトップ(RDP)機能はアタックサーフェスを広げ、攻撃者はこれを悪用して簡単にネットワークに侵入できます。リモートデスクトップ機能(RDP)を使用する必要がある場合は、二要素認証 (2FA) およびVPN /アクセス制御メカニズムを使用することによりリスクの一部を軽減できます。RDPをロックするだけでなく、試験済みの信頼性の高いバックアップ、複雑なパスワード、最小限の特権、ネットワークのセグメンテーションなどのベストプラクティスに従うことをお勧めします。また、Tenableでは、さまざまなMicrosoftオペレーティングシステムで使用できるCIS ポリシーコンプライアンス監査を提供しています。これらの監査で推奨事項をスキャンして適用することにより、データ盗難のリスクも軽減できます。

注:2017年の1件の事件では、SamSamの攻撃者は、ターゲットネットワーク上の多数のホストのエンドポイントセキュリティを無効にし、追加の被害が発生しました。この被害は、ホストベースおよびネットワークベースの脆弱性検出を含む一連の保護を提供する、ネットワーク防御に対するよりバランスのとれたアプローチの必要性を強調しています。 アタックサーフェスを総合的に管理するTenable.ioの詳細情報はこちらからご覧ください。

ランサムウェアの詳細

SamSamランサムウェアは2016年の初めに活発でしたが、最近また復活してきました。このランサムウェアは、2018年1月ににコロラド州の運輸局、2018年1月にインディアナ州のハンコック・リージョナル病院のシステムをシャットダウンさせた攻撃で特定されました。SamSamランサムウェアは、旧式でパッチが未適用のJBossシステムやJavaデシリアライゼーションの脆弱性を利用します。このランサムウェアは、最初にRDPブルートフォース攻撃によって始まることが知られています。

SamSamが不正利用する脆弱性には、以下のCVEで特定されているものが含まれます。

  • CVE-2010-0738
  • CVE-2012-0874
  • CVE-2010-1428

影響を受けているシステムの特定

Tenableは、これらの脆弱性を以下のプラグインによって検出します。

プラグイン個数

どうするべきか?

SamSamランサムウェアが利用する脆弱性に対してパッチが用意されています。JBossサーバーを最新バージョンにアップグレードすることをお勧めします。また、資格情報を狙うブルートフォース攻撃への対策として、アクセスを制限することと、強力なパスワードポリシーを策定することもお勧めします。

Tenable では、Nessus® プラグインを開発し、Tenable.io Vulnerability Management、SecurityCenter、およびNessus Proの脆弱性を検出しました。特に、これらのプラグインは、リモートからの攻撃者がJBossの欠陥を利用して機密情報にアクセスすることを可能にする脆弱性を特定します。さらに、 Tenable.io Container Securityには、Dockerコンテナイメージの脆弱性検出機能があります。

上記の欠陥に対する脆弱性を確認するには、Tenable.ioにログインし、上部のナビゲーションバーの右上エリアにある[Advanced]リンクをクリックします。[Advanced Search]ポップアップの選択リストから[CVE]を選び、デフォルトの[is equal to]を使い、リストされているCVE IDをコンマで区切って入力します。次に、以下の画像に示すように、[Apply]をクリックします。

フィルター

特定された脆弱性はVulnerability Workbenchに表示されます。以下の図をご覧ください。

脆弱性

ここで特定の脆弱性を選択すると、説明、ソリューション、関連情報など、脆弱性の軽減に役立つ詳細情報を得ることができます。

記

脆弱な資産の詳細を確認するには、Vulnerability Workbenchの[Assets]タブをクリックします。資産を選択すると、脆弱性ビューも表示されます。このビューで選択すると、上記の詳細ビューも表示されます。

資産

ほとんどのランサムウェアは、既にパッチが入手可能になっている有名な脆弱性を利用します。

詳細情報

Rajiv Motwani、Steve Tilson、Anthony Bettini、Clint Merrill、そしてTenableリサーチチームの協力に感謝いたします。

関連記事

Foreshadow: Speculative Execution Attack Targets Intel SGX

August 14, 2018

A flaw in Intel’s Software Guard Extensions implementation allows an attacker to access data stored in memory of other applications running on the same host, without the need for privilege escalation....

Ryan Seguin

Ryan Seguin

Advisory: Red Hat DHCP Client Command Injection Trouble

May 17, 2018

On May 15, Red Hat disclosed a critical vulnerability in a script included in NetworkManager for the Dynamic Host Configuration Protocol (DHCP) client on Red Hat Enterprise Linux (RHEL). The vulnerabi...

Steve Tilson

Steve Tilson

Advisory: Intel...Simply Misunderstood?

May 11, 2018

To close numerous security gaps, Microsoft, Adobe, Apple, Red Hat, Xen, VMware and other vendors have released a number of patches in the first 10 days of May. We discussed some of these in our recent...

Steve Tilson

Steve Tilson

CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited

April 23, 2024

A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.

Satnam Narang

Satnam Narang

Operational Technology in the DoD: Ensuring a Secure and Efficient Power Grid

April 19, 2024

In an evolving threat landscape, the DoD must make sure that its mission-critical operations don’t experience power outages.

Zach Bennefield

Zach Bennefield

Cybersecurity Snapshot: Cyber Agencies Offer Secure AI Tips, while Stanford Issues In-Depth AI Trends Analysis, Including of AI Security

April 19, 2024

Check out recommendations for securing AI systems from the Five Eyes cybersecurity agencies. Plus, Stanford University offers a comprehensive review of AI trends. Meanwhile, a new open-source tool aims to simplify SBOM usage. And don’t miss the latest CIS Benchmarks updates. And much more!

Juan Perez

Juan Perez

  • Plugins
  • Tenable.io
  • Tenable.io Container Security
  • Tenable.io Vulnerability Management
  • Vulnerability Scanning

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する
無料でお試し 今すぐ購入

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

試用リクエスト送信 お問合せはこちらから

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料でお試し 今すぐ購入

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する
無料でお試し 今すぐ購入

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加

今すぐ購入する
既存のライセンスを更新する | リセラーを検索する